Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/21

Garrantzia: Ertaina

Kaltetutako baliabideak:

Honako bertsioak:

• 8.8.6;
• 8.7.14;
• 7.70.

Azalpena:

jQuery-k dituen bi segurtasun ahultasun argitaratu dira, Drupal-en bertsio batzuei eragiten dietenak. Era berean, Drupal 7-k duen birbideratze ireki erako beste ahultasun baten berri eman da.

Konponbidea:

8.8.6, 8.7.14 o 7.70 bertsioetara eguneratzea.

Xehetasuna:

• jQuery-k dituen XXL erako bi ahultasunak baliatuz, erasotzaile batek fidagarria ez den kodea exekuta lezake, fidagarriak ez diren jatorrietako HTML bat jQuery-ren DOM manipulazio metodoetako batera (hau da, .html(), .append(), eta beste batzuk) pasatzean, baita hura saneatu ondoren ere. Ahultasun horietarako CVE-2020-11022 eta CVE-2020-11023 identifikatzaileak erabili dira.
• drupal_goto() funtzioan xede den kontsultaren parametroaren baliozkotze ez-nahiko baten ondorioz, Drupal 7-k duen birbideratze ireki erako ahultasun bat baliatuz, erasotzaile batek erabiltzaileak engaina litzake bereziki diseinatutako lotura bat bisita dezaten, kanpoko URL arbitrario batera birbideratuko dituena.

Etiketak: Eguneraketa, CMS, Ahultasuna